7.4 Xem xét lại và đánh giá Chính sách an ninh thông tin
Bước cuối cùng trong việc hoạch định chính sách an ninh thông tin và bổ
sung những khía cạnh chưa hoàn thiện. Việc sửa đổi chính sách là cần thiết
sau khi hiệu quả của một chính sách an ninh thông tin được xác định.
Một phương pháp đánh giá chính sách trong nước có thể được thực hiện để
xác định hiệu quả của chính sách an ninh thông tin quốc gia. Các khía cạnh
của phương pháp này được thảo luận dưới đây.Học phần 6 An toàn, an ninh thông tin và mạng lưới 137
Sử dụng các tổ chức kiểm tra
Có những tổ chức có vai trò tiến hành đánh giá và xem xét chính sách. Như
vậy một tổ chức cần tiến hành kiểm tra thường xuyên chính sách an ninh
thông tin quốc gia. Ngoài ra, tổ chức này cũng cần độc lập với tổ chức hoạch
định chính sách an ninh thông tin và tổ chức thực thi.
Sửa đổi chính sách an ninh thông tin
Các khía cạnh có vấn đề thường được nhận diện trong suốt quá trình kiểm tra.
Cần có một quy trình sửa đổi chính sách để xử lý các vấn đề này.
Những thay đổi về môi trường
Điều quan trọng là cần phản ứng một cách nhanh nhạy trước những thay đổi
của môi trường chính sách. Những thay đổi nảy sinh từ các khả năng bị tấn
công và các mối đe dọa (các cuộc tấn công) quốc tế, thay đổi cơ sở hạ tầng IT,
thay đổi mức độ của thông tin thiết yếu, và những thay đổi quan trọng khác
cần được lập tức phản ánh trong chính sách an ninh thông tin quốc gia.
143 trang |
Chia sẻ: linhmy2pp | Ngày: 15/03/2022 | Lượt xem: 245 | Lượt tải: 0
Bạn đang xem trước 20 trang tài liệu Giáo trình Những kiến thức cơ bản về Công nghệ thông tin và Truyền thông cho Lãnh đạo trong cơ quan Nhà nước - Học phần 6: An toàn, an ninh thông tin và mạng lưới, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
n, an ninh thông tin và mạng lưới 115
Hình 19. Vòng đời của chính sách an ninh thông tin
Thu thập thông tin
Thực thi
Xem xét lại và
Phân tích kẽ hở đánh giá
Xây dựng
7.1 Thu thập thông tin và phân tích kẽ hở
Giai đoạn đầu tiên trong quá trình xây dựng một chính sách an ninh thông tin
là thu thập thông tin và phân tích kẽ hở.
Trong thu thập thông tin, một điều hữu ích là xem xét các ví dụ về an ninh
thông tin và những chính sách liên quan của các quốc gia khác, cũng như
những chính sách liên quan của bản thân quốc gia đó.
Trong phân tích kẽ hở, một điều quan trọng là nắm bắt được yếu tố hạ tầng
hiện có liên quan đến an ninh thông tin, như các hệ thống và pháp luật hiện
tại, những lĩnh vực và kẽ hở cần được hoàn thiện. Đây là một bước quan trọng
vì nó xác định định hướng và ưu tiên trong chính sách an ninh thông tin sẽ
được thiết lập.
Thu thập thông tin
Thu thập các trường hợp từ nước ngoài: Trong việc xác định các trường
hợp liên quan từ những quốc gia khác, các nhà hoạch định chính sách cần
xem xét các yếu tố tương tự trong –
• Mức độ an ninh thông tin quốc gia
• Định hướng xây dựng chính sách
• Hạ tầng hệ thống và mạng lưới
116 Những kiến thức cơ bản về Công nghệ thông tin và Truyền thông cho Lãnh đạo trong cơ quan Nhà nước
Xem xét những yếu tố tương tự này, cần thu thập các dữ liệu sau –
• Thông tin về việc xây dựng và vận hành của các tổ chức liên quan đến an
ninh thông tin (xem chương 3 và chương 6 của học phần này)
• Thông tin về các chính sách, luật pháp, và các quy định về an ninh (xem
chương 3)
• Phương pháp an ninh thông tin được sử dụng trên phạm vi quốc tế và
những ví dụ từ các quốc gia khác (xem chương 4)
• Các xu hướng đe dọa và những biện pháp đối phó hay kiểm soát theo các
loại hình tấn công (xem các chương 2 và 6)
• Các biện pháp đối phó cho việc bảo vệ bí mật riêng tư (xem chương 5)
Thu thập các dữ liệu trong nước: Mặc dù hầu hết những nhà hoạch định
chính sách không phải là chuyên gia trong lĩnh vực an ninh thông tin, họ có
thể thực hiện những họat động có liên quan hay đi liền với an ninh thông tin.
Một cách cụ thể, họ tham gia xây dựng luật pháp, quy định và chính sách
trong các lĩnh vực liên quan đến an ninh thông tin. Tuy nhiên, do luật pháp,
quy định và chính sách có khuynh hướng tập trung vào các lĩnh vực nhất định,
sự tương quan giữa chúng có thể không hiện ra ngay tức thì đối với những
nhà hoạch định chính sách. Vì vậy, cần tiến hành thu thập, phân tích và đánh
giá tất cả những luật pháp, quy định và chính sách có liên quan hay đi liền với
an ninh thông tin.
Phân tích kẽ hở
Tác phẩm The Art of War của Sun Tzu nói rằng “Cần nắm bắt kẻ thù của
bạn”. Điều này có nghĩa là bạn cần phải biết được những giới hạn của mình
cũng như đó là kẻ thù của bạn. Trong trường hợp xây dựng chính sách an ninh
thông tin, điều này có nghĩa là cần biết được cái gì cần thiết được bảo vệ
thông qua một chính sách an ninh thông tin cũng như khả năng bị tấn công và
những mối đe dọa đối với an ninh thông tin.
Phân tích kẽ hở có thể được chia thành hai pha:
1. Nắm bắt được các năng lực và khả năng của quốc gia – ví dụ như các
nguồn lực con người và tổ chức, cũng như cơ sở hạ tầng thông tin và truyền
thông – trong lĩnh vực an ninh thông tin; và
2. Xác định các mối đe dọa từ bên ngoài đối với an ninh thông tin.
Học phần 6 An toàn, an ninh thông tin và mạng lưới 117
Những nhà hoạch định chính sách cần biết rõ các nguồn lực con người và tổ
chức an ninh thông tin – ví dụ các cơ quan tư nhân và công cộng trong các
lĩnh vực liên quan đến an ninh thông tin. Họ cần biết những tổ chức liên quan
trong hoạt động an ninh thông tin và nắm bắt được phạm vi họat động, vai trò,
trách nhiệm của các tổ chức này. Điều này là quan trọng nhằm tránh trùng lặp
các cấu trúc đã có về an ninh thông tin.
Cũng tại điểm này, những chuyên gia về an ninh thông tin cần được nhận diện
và đặt mối quan hệ. Bởi các chuyên gia thường có một nền về tảng luật pháp,
chính sách, công nghệ, giáo dục và những lĩnh vực có liên quan.
Cơ sở hạ tầng thông tin – truyền thông đề cập đến cấu trúc IT như việc thu
thập, xử lý, lưu trữ, tìm kiếm, truyền tải và tiếp nhận thông tin và các hệ thống
quản lý điều khiển điện tử. Nói ngắn gọn, đây là mạng lưới và hệ thống thông
tin. Nắm bắt hiện trạng của cơ sở hạ tầng thông tin – truyền thông là đặc
biệt quan trong từ quan điểm kinh tế. Bởi những khoản đầu tư lớn cần được
kết nối toàn bộ đất nước, làm cho các phương tiện thông tin – truyền thông
hiện có trở nên tiện lợi. Hình 20 đưa ra một ví dụ về cơ sở hạ tầng thông tin –
truyền thông cho vấn đề an ninh thông tin. Nó không bao hàm tất cả những
chi tiết có thể được yêu cầu và ví dụ được đưa ra ở đây chỉ nhằm mục đích
minh họa. Lưu ý mối quan hệ giữa rất nhiều thành phần trong mạng lưới.
Hình 20. Ví dụ về cấu trúc hệ thống và mạng lưới
Hệ thống Hệ thống
Server
Router thu thập ngăn S/W F/W IDS/IPS S/W Router
gói dữ chặn các
liệu giao dịch
độ hại
Hệ thống đánh Hệ thống giám sát/cảnh
giá bản ghi báo sớm
Hệ thống Anti-virus
118 Những kiến thức cơ bản về Công nghệ thông tin và Truyền thông cho Lãnh đạo trong cơ quan Nhà nước
Những nhà hoạch định chính sách cần hiểu được các hệ thống và mạng lưới
chung về an ninh thông tin được bố trí như thế nào.
Bước thứ hai trong phân tích kẽ hở đó là xác định các mối đe dọa bên ngoài
đối với an ninh thông tin. Như đã đề cập trong chương 2, các mối đe dọa đối
với an ninh thông tin không chỉ tăng lên mà còn phức tạp hơn. Các nhà lập
chính sách cần hiểu những mối đe dọa này để có thể quyết định biện pháp đối
phó nào là cần thiết. Nói một cách cụ thể, các nhà lập chính sách cần phải
hiểu:
• Tốc độ thâm nhập của các mối đe dọa đối với an ninh thông tin
• Các loại hình tấn công hiện tại và phổ biến nhất
• Các loại hình đe dọa và mức độ dự kiến về sức mạnh của chúng trong
tương lai
Sau khi phân tích các nguồn lực con người, tổ chức quốc gia và cơ sở hạ tầng
thông tin – truyền thông, cũng như nắm bắt các nhân tố đe dọa trong lĩnh vực
an ninh thông tin, một điều quan trọng đó là tìm ra được nguyên nhân từ các
yếu tố có thể bị tấn công. Điều này sẽ xác định được phạm vi mà theo đó quốc
gia có thể chống lại các thành phần đe dọa bên ngoài. Việc xác định có thể
được thực hiện thông qua kiểm tra những vấn đề sau đây:
• Hiện trạng của CERT và khả năng đối phó của nó
• Hiện trạng của các chuyên gia về an ninh thông tin
• Mức độ xây dựng và sức mạnh của hệ thống an ninh thông tin
• Quy phạm pháp luật bảo vệ chống lại sự xâm phạm tài sản thông tin
• Môi trường vật lý cho việc bảo vệ các tài sản thông tin
Mục tiêu của việc phân tích kẽ hở là nhằm có thể xác định các biện pháp đối
phó thực tiễn cần được thực hiện. Cần nhấn mạnh rằng đây là bước cơ bản
nhất trong việc hoạch định chính sách an ninh thông tin.
7.2 Xây dựng chính sách an ninh thông tin
Việc xây dựng một chính sách an ninh thông tin liên quan tới: (1) vạch ra
định hướng chính sách; (2) thiết lập tổ chức an ninh thông tin và xác định
trách nhiệm cũng như vai trò của nó; (3) kết nối khuôn khổ chính sách an ninh
thông tin; (4) xây dựng và/hoặc sửa lại luật pháp giúp tạo cho chúng sự thích
hợp với chính sách; và (5) phân bổ một nguồn ngân sách cho việc thực hiện
chính sách thông tin.
Học phần 6 An toàn, an ninh thông tin và mạng lưới 119
1. Thiết lập định hướng chính sách và đẩy mạnh tiến về phía trước
Trong hầu hết các trường hợp, việc theo đuổi chính sách an ninh thông tin cần
được đi đầu bởi chính phủ hơn là để cho khu vực tư nhân. Đặc biệt, chính phủ
cần thiết lập chính sách, đóng vai trò trong việc dẫn đầu đưa cơ sở hạ tầng tại
chỗ và cung cấp sự hỗ trợ dài hạn. Khu vực tư nhân tham gia vào dự án giai
đoạn này, cụ thể là tham gia vào nghiên cứu, phát triển và xây dựng hệ thống.
Việc lập kế hoạch cho khu vực tư nhân tham gia bao gồm các hoạt động nâng
cao nhận thức bên cạnh việc xây dựng và tăng cường cơ sở hạ tầng thông tin
– truyền thông. Nếu chính phủ nhắm tới khuyến khích khu vực tư nhân chấp
nhận chiến lược thông tin, chính phủ cần đóng vai trò hỗ trợ hơn là vai trò
điều khiển. Điều này bao gồm việc phân phát các chỉ dẫn an ninh thông tin.
2. Sự thành lập của tổ chức an ninh thông tin, việc xác định các vai trò và
trách nhiệm54
Một khi định hướng cho chính sách an ninh thông tin đã được đặt ra, việc xây
dựng tổ chức cần được tiến hành. Hình 21 cho thấy cấu trúc của một tổ chức
an ninh thông tin quốc gia nói chung.
54 Được trích tại Sinclair Community College, “Information Security Organization - Roles and
Responsibilities,”
_Roles_and_Responsibilities.htm.
120 Những kiến thức cơ bản về Công nghệ thông tin và Truyền thông cho Lãnh đạo trong cơ quan Nhà nước
Hình 21. Hình mẫu của tổ chức an ninh quốc gia
Chủ tịch
Ban phó chủ tịch Ban cố vấn
CISO
Phòng chính sách Phòng kỹ thuật Khác
Nhóm an ninh thông tin hệ Các nhân viên
thống quản trị truy cập thông tin
Nhóm phản ứng sự cố Đội ngũ nhân viên tạm thời
an ninh máy tính (CSIRT)
Phòng dịch vụ Nhân viên tư vấn
công nghệ thông tin (ITSD)
Các hệ thống phát triển Các nhà cung cấp dịch vụ
và bảo trì (SDM)
Các thành viên cộng đồng
Các tổ chức an ninh thông tin quốc gia thì khác đôi chút tùy theo đặc trưng và
văn hóa của mỗi nước. Tuy nhiên, một nguyên tắc cơ bản là đảm bảo rằng các
vai trò và trách nhiệm được vạch ra một cách rõ ràng.
Tổ chức quản trị
Ban phó chủ tịch có trách nhiệm chính đối với thông tin được thu thập, duy
trì và/hoặc được xác định như là việc tận dụng hay ‘sở hữu’ bởi từng đơn vị
riêng biệt. Họ có thể chỉ định một Cán bộ an ninh thông tin (Information
Security Officer) và các cá nhân khác hỗ trợ cho Cán bộ an ninh thông tin
trong việc thực thi chính sách an ninh thông tin. Đội ngũ nhân viên được chỉ
định này phải đảm bảo rằng những tài sản thông tin trong vòng kiểm soát của
họ được định rõ chủ sở hữu, các đánh giá rủi ro được thực hiện, và các quy
trình giảm nhẹ đối với những rủi ro đó được thực thi.
Học phần 6 An toàn, an ninh thông tin và mạng lưới 121
Những người giám sát (Giám đốc, Chủ tịch, Người quản lý) quản lý
nhân viên truy cập thông tin và các hệ thống thông tin đồng thời xác định, thi
hành và tuân thủ việc kiểm soát an ninh thông tin đối với các lĩnh vực tương
ứng của mình. Họ phải đảm bảo rằng tất cả những nhân viên hiểu rõ trách
nhiệm cá nhân của mình đối với an ninh thông tin đồng thời đảm bảo rằng các
nhân viên có quyền truy cập cần thiết để thực hiện công việc của họ. Người
giám sát cần định kỳ xem xét tất cả những cấp độ truy cập của người sử dụng
nhằm đảm bảo rằng họ thích hợp và có hành động thích hợp để hiệu chỉnh
những sự khác biệt cũng như sự thiếu hụt.
Giám đốc an ninh thông tin (Chief Information Security Officer - CISO) có
trách nhiệm điều phối và quan sát chính sách an ninh thông tin. Cộng tác một
cách chặt chẽ với nhiều phòng ban, CISO có thể khuyến nghị rằng những người
giám sát của các phòng ban cụ thể chỉ định người đại diện khác để quan sát và
điều phối những yếu tố đặc biệt trong chính sách. CISO cũng trợ giúp những chủ
sở hữu thông tin với những thực tiễn an ninh thông tin tốt nhất trong:
• Thiết lập và phổ biến các quy tắc có thể thi hành về tiếp cận và sử dụng
hợp lý những tài nguyên thông tin;
• Chỉ đạo/Điều phối việc phân tích và đánh giá rủi ro an ninh thông tin;
• Xây dựng các biện pháp và chỉ dẫn an ninh hợp lý nhằm bảo vệ dữ liệu và
các hệ thống;
• Hỗ trợ việc quản lý và giám sát cá khả năng tấn công an ninh hệ thống;
• Chỉ đạo/Điều phối công tác kiểm tra an ninh thông tin;
• Hỗ trợ việc điều tra/giải quyết các vấn đề và/hoặc những vi phạm đối với
an ninh thông tin quốc gia.
Tổ chức kỹ thuật
Nhóm An ninh Thông tin Hệ thống Quản trị (Administrative System
Information Security Team) phát triển và thực hiện những biện pháp nhằm
đảm bảo rằng việc kiểm soát an ninh ứng dụng quản trị cho phép các bên liên
quan khả năng truy cập thích hợp tới thông tin trong khi thỏa mãn luật pháp
quốc gia và các nghĩa vụ bảo vệ thông tin phê bình, nhạy cảm và riêng tư.
Nhóm phát triển các tiêu chuẩn và quy trình nhằm cung cấp tính sẵn sàng,
tính toàn diện và tính tin cẩn của thông tin hệ thống quản trị, bao gồm các quy
trình dành cho người dùng yêu cầu đối với truy cập ban đầu và thay đổi quyền
truy cập; tài liệu đối với truy cập người dùng được phép, cũng như quyền và
nghĩa vụ của người giám sát/người dùng; giải pháp cho các vấn đề cũng như
xung đột có liên quan đến an ninh.
122 Những kiến thức cơ bản về Công nghệ thông tin và Truyền thông cho Lãnh đạo trong cơ quan Nhà nước
Nhóm gồm có Phòng Cán bộ An ninh Thông tin (Division Information
Security Officers) và CISO. Nhóm được chỉ dẫn bởi Cục Cán bộ An ninh
thông tin và Điều hành viên hệ thống quản trị (Department Information
Security Officers and Administrative Systems Administrators).
CSIRT cung cấp thông tin và hỗ trợ các bên liên quan trong việc thực hiện
các biện pháp tiên phong nhằm làm giảm rủi ro đối với các sự cố an ninh
thông tin, cũng như trong việc kiểm tra, đối phó nhằm giảm thiểu thiệt hại từ
những sự cố này khi chúng xảy ra. CSIRT cũng xác định và khuyến nghị các
hành động tiếp sau. CSIRT hai lớp bao gồm một nhóm hoạt động phụ trách
việc nhận định ban đầu, đối phó, phân loại và xác định những yêu cầu leo
thang, và một nhóm quản lý phụ trách việc đi đầu quốc gia trong việc đối phó
với những sự cố chính hay quan trọng. CISO và các thành viên đội ngũ IT
được ủy thác từ bộ phận Phát triển và Bảo trì các hệ thống, dịch vụ công nghệ
thông tin (Information Technology Services and Systems Development and
Maintenance) là thành phần của nhóm CSIRT hoạt động. Nhóm quản lý
CSIRT bao gồm Phụ trách Thông tin (Chief Information Officer), Phụ trách
Giám sát (Chief of Police), Giám đốc Thông tin công (Director of Public
Information), Giám đốc Dịch vụ Công nghệ thông tin (Director of
Information Technology Services), Giám đốc Hệ thống phát triển và bảo trì
(Director of Systems Development and Maintenance), CISO, nhà quản lý
mạng lưới và hệ thống, cố vấn pháp luật, cố vấn nguồn nhân lực, và các đại
biểu có chuyên môn kỹ thuật được bổ nhiệm một cách đặc biệt bởi các Phó
Chủ tịch.
Các thành viên của Phòng dịch vụ Công nghệ thông tin (Information
Technology Services Department) bao gồm các kỹ sư và điều hành viên
mạng lưới và hệ thống, các nhà cung cấp dịch vụ kỹ thuật như IT Help Desk,
các kỹ thuật viên hỗ trợ người dùng, và những nhà quản trị truyền thanh. Họ
chịu trách nhiệm đối với việc tích hợp các công cụ an ninh thông tin về mặt
kỹ thuật, công tác quản trị cũng như các thực tiễn trong môi trường mạng. Họ
tiếp nhận những báo cáo về các sự cố hay thất bại an ninh thông tin được nghi
ngờ từ phía người dùng cuối.
Các thành viên Hệ thống phát triển và bảo trì bao gồm những nhà phát triển
và nhà quản trị cơ sở dữ liệu. Họ phát triển, rén luyện, tích hợp và thực thi các
thực tiễn an ninh tốt nhất về các ứng dụng quốc gia, đồng thời đào tạo cho các
nhà phát triển ứng dụng Web trong việc sử dụng những nguyên tắc an ninh
của ứng dụng.
Học phần 6 An toàn, an ninh thông tin và mạng lưới 123
Các đối tượng khác
Các nhân viên có quyền truy cập thông tin và hệ thống thông tin phải tuân
theo những thủ tục và chính sách quốc gia có thể được áp dụng, cũng như bất
kỳ các thủ tục hay thực tiễn nào được xây dựng bởi những đơn vị dẫn đầu hay
đơn vị định hướng của họ. Điều này bao gồm việc bảo vệ mật mã tài khoản
của họ và báo cáo nghi ngờ lạm dụng thông tin hay các sự cố an ninh thông
tin cho các bên thích hợp (thông thường là người giám sát của họ).
Đội ngũ nhân viên tạm thời được coi là các nhân viên và có cùng trách
nhiệm như một nhân viên toàn thời (full-time) hay bán thời (part-time) chính
thức với quyền truy cập tới thông tin và các hệ thống thông tin.
Các nhà tư vấn, nhà cung cấp dịch vụ và các bên tham gia thứ ba khác
được cấp quyền truy cập thông tin về một ‘nhu cầu nắm bắt’ cơ bản. Một tài
khoản mạng được yêu cầu bởi một bên thứ ba phải được đưa ra bởi ‘người
bảo trợ’ trong tổ chức mà người đó sẽ đảm bảo rằng người sử dụng bên thứ ba
hiểu rõ các trách nhiệm cá nhân có liên quan đến tài khoản mạng, và được
chấp thuận bởi giám đốc hay phó chủ tịch thích hợp. Người sử dụng phải giữ
bí mật (các) mật khẩu của anh/cô ta đồng thời chịu trách nhiệm đối với bất kỳ
hoạt động đưa lại kết quả nào từ việc sử dụng (các) ID của anh/cô ta trong
phạm vi kiểm soát hợp lý của anh/cô ta.
3. Thiết lập khuôn khổ cho chính sách an ninh thông tin
Khuôn khổ an ninh thông tin
Khuôn khổ an ninh thông tin đề ra những tham số đối với chính sách an ninh
thông tin. Nó đảm bảo rằng chính sách đưa vào các tài nguyên IT (con người,
tài liệu thông tin, phần cứng, phần mềm, các dịch vụ); phản ánh các quy tắc
và pháp luật quốc tế; và thỏa mãn các nguyên tắc về tính sẵn sàng, tính tin
cẩn, tính toàn diện, trách nhiệm giải trình và sự đảm bảo của thông tin. Hình
22 thể hiện một khuôn khổ an ninh thông tin.
124 Những kiến thức cơ bản về Công nghệ thông tin và Truyền thông cho Lãnh đạo trong cơ quan Nhà nước
Hình 22. Khuôn khổ an ninh thông tin
Khuôn khổ An ninh thông tin
Tính Tính Tính Trách nhiệm Sự
sẵn sàng tin cẩn toàn vẹn giải trình đảm bảo
Chính sách An ninh Thông tin
Kế hoạch/ Đạt được/ Bảo 1vệ bí Vận hành/ Giám sát/
Tổ chức Thực thi mật riêng tư Hỗ trợ Đánh giá
Hệ thống/
Hệ thống/
Hoạt động/tổ An ninh nguồn Bảo vệ Quản lý an ninh Kiểm tra
Luật và vận hành hệ Luật
chức an ninh nhân lực bí mật riêng tư an ninh
pháp thống thông tin pháp
quốc tế
quốc gia Kiểm soát/ Tìm kiếm các hệ Quản lý an Quản lý và đối
phân loại thống thông tin và ninh tài khoản phó sự cố an
tài sản phát triển an ninh đặc quyền ninh
Hoạt động/tổ An ninh
chức an ninh về mặt vật lý
Nguồn lực IT Con Thông Tài Phần Phần Dịch
người tin liệu cứng mềm vụ
Chính sách an ninh thông tin là bộ phận quan trọng nhất của khuôn khổ an
ninh thông tin. Chính sách bao gồm 5 lĩnh vực, được thảo luận dưới đây.
a. Kế hoạch và tổ chức: Khía cạnh này bao gồm an ninh cho việc vận hành
và tổ chức, kiểm soát và phân loại tài sản.
An ninh đối với việc vận hành và tổ chức bao gồm-
• Tổ chức và hệ thống của tổ chức an ninh thông tin quốc gia
• Thủ tục cho mỗi tổ chức an ninh thông tin
• Thiết lập và quản lý an ninh thông tin của quốc gia
• Cộng tác với các cơ quan quốc tế có liên quan
• Cộng tác với một nhóm chuyên gia
Học phần 6 An toàn, an ninh thông tin và mạng lưới 125
Kiểm soát và phân loại tài sản bao gồm-
• Cấp quyền sở hữu và tiêu chuẩn phân loại đối với những tài sản thông tin
quan trọng
• Gửi chỉ dẫn và đánh giá rủi ro về những tài sản thông tin quan trọng
• Quản lý các đặc quyền truy cập đối với những tài sản thông tin quan
trọng
• Công bố những tài sản thông tin quan trọng
• Đánh giá lại và tận dụng các tài sản thông tin quan trọng
• Quản lý bảo mật tài liệu
b. Thu nhận và thực thi: Khía cạnh này bao gồm an ninh nguồn nhân lực,
thu nhận các hệ thống an ninh và phát triển an ninh.
An ninh nguồn nhân lực liên quan đến việc xác định một phương pháp
quản lý cho việc thuê mướn những người làm thuê mới, nó bao gồm:
• Các biện pháp đối phó an ninh nguồn nhân lực và đào tạo an ninh
• Xử lý vi phạm các quy định và pháp luật an ninh
• Quản lý an ninh đối với việc truy cập của bên thứ ba
• Quản lý an ninh đối với việc truy cập của các cá nhân thuê ngoài
• Hoạt động và quản lý đối với các bên thứ ba cũng như nhân viên thuê
ngoài
• Quản lý an ninh đối với thiết bị và phòng máy tính
• Truy cập tới những công trình và phương tiện chủ yếu
• Xử lý các sự cố an ninh
Thu nhận các hệ thống an ninh và phát triển an ninh bao gồm-
. Kiểm tra an ninh khi một hệ thống thông tin được yêu cầu
. Quản lý an ninh đối với các chương trình ứng dụng bên trong và thuê
ngoài
. Một hệ thống mật mã quốc gia (mã hóa chương trình và khóa)
. Kiểm thử sau khi phát triển chương trình
. Đề xuất các yêu cầu an ninh khi việc thuê ngoài phát triển
. Kiểm tra an ninh trong quá trình phát triển và thu nhận
126 Những kiến thức cơ bản về Công nghệ thông tin và Truyền thông cho Lãnh đạo trong cơ quan Nhà nước
c. Bảo vệ bí mật riêng tư: Bảo vệ bí mật riêng tư trong một chính sách an
ninh thông tin là vấn đề bắt buộc. Tuy nhiên, việc bao hàm nó có một thuận
lợi bởi bảo vệ bí mật riêng tư là một vấn đề quốc tế. Cung cấp bảo vệ bí
mật riêng tư cần bao hàm các yếu tố sau:
• Thu thập và sử dụng thông tin cá nhân
• Có sự đồng ý trước khi sử dụng bí mật riêng tư của con người
• PIA
d. Hoạt động và hỗ trợ: Khía cạnh này phải tiến hành cùng với an ninh về
mặt kỹ thuật và vật lý. Việc sử dụng hệ thống và mạng lưới được quy định
chi tiết, đồng thời an ninh về mặt vật lý của cơ sở hạ tầng thông tin và
truyền thông được xác định rõ ràng.
Quản lý an ninh và vận hành hệ thống thông tin (Information system
operation and security management) liên quan đến việc xác định các vấn đề
sau-
• Quản lý an ninh và vận hành máy chủ, mạng lưới, ứng dụng và cơ sở dữ
liệu
• Phát triển hệ thống an ninh thông tin
• Ghi chép báo cáo và sao lưu
• Quản lý lưu trữ thông tin
• Tính toán di động
• Tiêu chuẩn cho lưu ký và bảo mật dữ liệu máy tính
• Các dịch vụ thương mại điện tử
Quản lý an ninh tài khoản đặc quyền (Account privilege security
management) – Kiểm soát truy cập và quản lý tài khoản được xác định để
đảm bảo tính cẩn mật trong việc sử dụng lưu ký thông tin quốc gia. Điều
này bao gồm:
• Quản lý đặc quyền, đăng ký và xóa bỏ của người dùng trong hệ thống
thông tin quốc gia
• Quản lý tài khoản và đặc quyền trong mạng lưới được mã hóa
An ninh về mặt vật lý – An ninh về mặt vật lý liên quan đến việc bảo vệ
các phương tiện thông tin và truyền thông có chứa những thông tin quan
trọng. Nó bao gồm:
Học phần 6 An toàn, an ninh thông tin và mạng lưới 127
• Cấu hình và quản lý các phương pháp an ninh khu vực
• Kiểm soát việc truy cập và truyền tải đối với trung tâm máy tính
• Ngăn ngừa thiệt hại từ những thảm họa tự nhiên và những thảm họa khác
e. Giám sát và đánh giá: Khía cạnh này của chính sách an ninh thông tin đòi
hỏi việc xây dựng các tiêu chuẩn và quy trình ngăn chặn những sự cố an
ninh cũng như quản lý và đối phó với các sự cố an ninh.
Việc kiểm duyệt an ninh bao gồm-
. Xây dựng một kế hoạch kiểm duyệt an ninh
. Định kỳ thực hiện việc kiểm duyệt an ninh
. Xây dựng/tổ chức các hình thức báo cáo
. Xác định đối tượng của kiểm duyệt an ninh và các mục tiêu báo cáo
Quản lý và đối phó với sự cố an ninh đòi hỏi việc xác định-
• Công việc và vai trò của mỗi tổ chức trong quá trình xử lý các sự cố an
ninh
• Các thủ tục đối với việc quan sát và nhận biết những dấu hiệu về sự cố
an ninh
• Phương pháp đối phó và thủ tục xử lý sự cố an ninh
• Các biện pháp tiến hành sau khi xử lý sự cố an ninh
4. Xây dựng và/hoặc sửa đổi pháp luật để phù hợp với chính sách an ninh
thông tin
Luật pháp phải phù hợp với chính sách an ninh thông tin. Cần có các bộ luật
quản lý những cơ quan nhà nước và doanh nghiệp tư nhân. Bảng 14-16 lần
lượt liệt kê các bộ luật liên quan đến an ninh thông tin của Nhật Bản, EU và
Mỹ. Tại Nhật Bản, đại diện về pháp luật IT là Đạo luật cơ bản về sự hình
thành một Xã hội thông tin và Mạng viễn thông tiên tiến (Basic Act on the
Formation of an Advanced Information and Telecommunications Network
Society). Bộ luật này là tiêu chuẩn cơ bản cho an ninh thông tin của quốc gia
và tất cả những vấn đề liên quan đến luật pháp phải tuân theo nó.
128 Những kiến thức cơ bản về Công nghệ thông tin và Truyền thông cho Lãnh đạo trong cơ quan Nhà nước
Bảng 14. Các bộ luật liên quan đến an ninh thông tin của Nhật Bản
Lĩnh vực Mục tiêu
Bộ luật Hình phạt
mục tiêu điều chỉnh
Hành động khuyến
Luật truy cập máy tính
khích truy cập trái
trái phép
phép và cung cấp
(Unauthorized Tất cả các lĩnh vực
thông tin ID của người
Computer Access
khác mà không có sự
Law)
thông báo
Quản lý thông tin bí
Đạo luật Bảo vệ thông Các doanh nghiệp tư
mật riêng tư (địa chỉ,
tin cá nhân (Act on the nhân sử dụng thông Trách nhiệm hình
số điện thoại, e-mail,
Protection of Personal tin riêng tư cho các sự, phạt tiền
và các thông tin tương
Information) mục tiêu kinh doanh
tự)
Tạo điều kiện thuận
Đạo luật về Chứng
lợi cho thương mại
thực và Chữ ký điện tử
điện tử có được lợi
(Act on Electronic
thế trong hoạt động
Signatures and
điện tử và Internet
Certification)
thông qua mạng lưới
Bảng 15. Các bộ luật liên quan đến an ninh thông tin của EU
Bộ luật Chi tiết
• Đưa ra khuôn khổ điều tiết các dịch vụ và mạng lưới viễn thông
Khuôn khổ điều tiết chung
• Nhằm bảo vệ bí mật riêng tư thông qua các mạng truyền thông
(Chỉ thị 2002/21/EC)
an toàn
• Hướng dẫn về việc xử lý và tự do loại bỏ thông tin cá nhân
• Pháp luật cơ bản xác định trách nhiệm của các quốc gia thành
Chỉ thị EU về Bảo vệ dữ liệu
viên và công nhận quyền tối thượng của các cá nhân đối với
(Chỉ thị 1995/46/EC)
thông tin riêng tư
• Nghiêm ngặt hơn tiêu chuẩn của Mỹ
Chỉ thị EU về Chữ ký điện
tử (Chỉ thị 1999/93/EC) • Quản lý việc sử dụng chữ ký điện tử
Chỉ thị EU về Thương mại • Điều chỉnh việc thực hiện thương mại điện tử
điện tử (Chỉ thị 2000/31/EC)
Hiệp ước về tội phạm mạng • Hiệp ước quốc tế toàn diện nhất về tội phạm mạng
• Xác định chi tiết tất cả những hành động phạm tội có sử dụng
Internet và những hình phạt tương ứng
Hướng dẫn Bảo quản dữ • Yêu cầu các nhà cung cấp dịch vụ truyền thông lưu giữ dữ liệu
liệu Truyền thông và Mạng cuộc gọi từ 6 – 24 tháng (được ban hành sau các cuộc tấn công
lưới khủng bố tại Madrid và London năm 2004 và 2005)
Học phần 6 An toàn, an ninh thông tin và mạng lưới 129
Bảng 16. Các bộ luật liên quan đến an ninh thông tin của Mỹ
Lĩnh vực Mục tiêu
Bộ luật Hình phạt
mục tiêu điều chỉnh
Thông tin của các cơ
Luật Quản lý An ninh
Các cơ quan hành quan hành chính, hệ
thông tin Liên bang
chính Liên bang thống IT, chương trình
năm 2002
an ninh thông tin
Các tổ chức y tế và
Luật Trách Lợi Bảo Dữ liệu điện tử về Trách nhiệm hình
các nhà cung cấp dịch
hiểm Y tế năm 1996 thông tin y tế cá nhân sự, phạt tiền
vụ y tế
Luật Gramm-Leach- Thông tin bí mật riêng Trách nhiệm hình
Các tổ chức tài chính
Bliley năm 1999 tư của các khách hàng sự, phạt tiền
Liệt kê các công ty Kiểm soát nội bộ và
Luật Sarbanes-Oxley Trách nhiệm hình
trên Thị trường chứng công khai các bản ghi
năm 2002 sự, phạt tiền
khoán Mỹ tài chính
Luật Thông tin vi phạm Các cơ quan hành
Thông tin bí mật riêng Phạt tiền và thông
an ninh cơ sở dữ liệu chính và doanh nghiệp
tư được mã hóa báo tới người bị hại
California năm 2003 tư nhân tại California
5. Phân bổ một nguồn ngân sách cho việc thực hiện chính sách thông tin
Việc thực hiện một chính sách đòi hỏi có nguồn ngân sách. Bảng 17 cho biết
ngân sách dành cho an ninh thông tin tại Nhật Bản và Mỹ trong vài năm gần
đây.
Bảng 17. Ngân sách bảo vệ thông tin của Nhật và Mỹ
Nhật Bản 2004 2005
Tổng ngân sách hàng năm JPY 848,967,000,000,000 JPY 855,195,000,000,000
Ngân sách dành cho an ninh
JPY 267,000,000,000 JPY 288,000,000,000
thông tin
Tỉ lệ trong tổng ngân sách 0.03% 0.03%
Mỹ 2006 2007
Tổng ngân sách hàng năm USD 2,709,000,000,000 USD 2,770,000,000,000
Ngân sách dành cho an ninh
USD 5,512,000,000 USD 5,759,000,000
thông tin
Tỉ lệ trong tổng ngân sách 0.203% 0.208%
130 Những kiến thức cơ bản về Công nghệ thông tin và Truyền thông cho Lãnh đạo trong cơ quan Nhà nước
Một số điều cần làm
Nếu đất nước bạn có một chính sách an ninh thông tin, hãy phác họa sự
phát triển của nó theo 5 khía cạnh của quá trình xây dựng chính sách an
ninh thông tin được mô tả ở trên. Nghĩa là mô tả về:
1. Định hướng chính sách
2. Tổ chức an ninh thông tin
3. Khuôn khổ chính sách
4. Các pháp luật hỗ trợ cho chính sách an ninh thông tin
5. Phân bổ ngân sách cho an ninh thông tin
Nếu đất nước bạn chưa có một chính sách an ninh thông tin nào, hãy chỉ
ra một số triển vọng đối với mỗi một trong số 5 khía cạnh ở trên hướng tới
việc xây dựng chính sách. Sử dụng những câu hỏi sau đây như là gợi ý:
1. Điều gì sẽ là định hướng cho chính sách an ninh thông tin của đất
nước bạn?
2. Cái gì được đưa ra trong việc thiết lập tổ chức? Những tổ chức nào sẽ
liên quan đến việc phát triển và thực thi chính sách an ninh thông tin ở
đất nước bạn?
3. Những vấn đề cụ thể của khuôn khổ chính sách là gì?
4. Những luật pháp nào cần được ban hành và/hoặc bị bãi bỏ để hỗ trợ
cho chính sách thông tin?
5. Những cân nhắc về tài chính nào sẽ được đưa vào bản kê? Trong
trường hợp nào ngân sách được rút ra?
Những người tham gia khóa học đến từ cùng một quốc gia có thể cùng
nhau thực hiện bài tập này.
7.3 Thực hiện/thực thi chính sách
Việc thực thi suôn sẻ chính sách an ninh thông tin đòi hỏi sự cộng tác giữa
chính phủ, tư nhân và các tổ chức quốc tế. Hình 23 cho thấy những lĩnh vực
cụ thể của việc thực thi chính sách thông tin, nơi mà sự cộng tác là yếu tố
quyết định.
Học phần 6 An toàn, an ninh thông tin và mạng lưới 131
Hình 23. Các lĩnh vực cộng tác trong việc thực thi chính sách an ninh thông tin
Phát triển Bảo vệ
chính cơ sở hạ
sách tầng ICT
Cộng tác Thực thi Đối phó
quốc tế chính sách sự cố
an ninh
thông tin
Bảo vệ Ngăn
bí mật ngừa rủi
riêng tư ro
Phát triển chính sách an ninh thông tin
Bảng 18 cho biết chính phủ, khu vực tư nhân, và các tổ chức quốc tế có thể
đóng góp vào việc phát triển chính sách an ninh thông tin quốc gia như thế nào.
Bảng 18. Ví dụ về cộng tác trong việc phát triển chính sách an ninh thông tin
Khu vực Đóng góp vào việc phát triển chính sách
• Chiến lược quốc gia và tổ chức hoạch định: đảm bảo phù hợp giữa chính sách
thông tin và kế hoạch quốc gia
• Tổ chức công nghệ thông tin và truyền thông: đảm bảo sự điều phối trong việc xây
dựng tiêu chuẩn công nghệ an ninh thông tin của quốc gia
• Tổ chức phân tích xu hướng an ninh thông tin: phản ánh xu hướng an ninh trong
Chính phủ nước và quốc tế đồng thời phân tích về chính sách
• Tổ chức phân tích chính sách: kiểm tra sự phù hợp giữa chính sách an ninh thông
tin và những luật pháp hiện tại
• Tổ chức thông tin quốc gia: cộng tác trong việc thiết lập định hướng và xây dựng
chiến lược
• Các cơ quan điều tra: cộng tác trong việc xử lý những sự cố an ninh
• Các công ty tư vấn an ninh thông tin: sử dụng những đơn vị chuyên nghiệp trong
việc hoạch định chính sách an ninh thông tin
• Phòng thí nghiệm công nghệ an ninh thông tin tư nhân: xây dựng các tiêu chuẩn
Tư nhân
công nghệ liên quan đến an ninh thông tin
• Phòng an ninh thông tin của các trường đại học và/hoặc các trường cao học: đưa
ra ý kiến chuyên môn về việc xây dựng chính sách
Các tổ chức • Đảm bảo tuân thủ các tiêu chuẩn chính sách quốc tế
quốc tế • Điều phối đối phó với những sự cố và các mối đe dọa quốc tế
132 Những kiến thức cơ bản về Công nghệ thông tin và Truyền thông cho Lãnh đạo trong cơ quan Nhà nước
Quản lý và bảo vệ cơ sở hạ tầng thông tin, truyền thông
Sử dụng hiệu quả (thu thập, lưu ký, v.v) thông tin đòi hỏi việc bảo vệ và
quản trị thích hợp đối với cơ sở hạ tầng IT. Một chính sách an ninh thông tin
tốt sẽ vô nghĩa nếu thiếu một cơ sở hạ tầng IT lành mạnh.
Quản lý và bảo vệ hiệu quả cơ sở hạ tầng thông tin và truyền thông yêu cầu sự
hợp tác giữa các nhà quản lý lĩnh vực mạng lưới, hệ thống và IT. Một điều cũng
mang lại lợi ích đó là sự hợp tác giữa các tổ chức công và tư nhân (Bảng 19).
Bảng 19. Ví dụ về hợp tác trong việc quản lý và
bảo vệ cơ sở hạ tầng thông tin, truyền thông
Đóng góp vào việc quản lý và bảo vệ
Khu vực
Cơ sở hạ tầng thông tin và truyền thông
• Mạng lưới thông tin và truyền thông có liên quan đến tổ chức: xác định
thành phần kết cấu và mức độ an ninh của mạng lưới thông tin và truyền
Chính phủ thông quốc gia
• Phòng thí nghiệm công nghệ thông tin và truyền thông: đưa ra các tiêu
chuẩn chung và chấp nhận công nghệ có thể sử dụng
• Các nhà cung cấp ISP: hợp tác trong thành phần của mạng lưới thông tin
và truyền thông quốc gia
Tư nhân • Phòng thí nghiệm công nghệ thông tin và truyền thông: cung cấp các dịch
vụ phát triển kỹ thuật đồng thời hợp tác trong việc vận hành công nghệ an
ninh và một cơ sơ hạ tầng thông tin và truyền thông ổn định
Các tổ • Hợp tác với tổ chức tiêu chuẩn công nghệ quốc tế cho thông tin và truyền
chức quốc tế thông, và cho việc bảo mật công nghệ thông tin mới
Ngăn ngừa và đối phó với các sự cố, mối đe dọa
Đối phó một cách hiệu quả các mối đe dọa và sự vi phạm an ninh thông tin
đòi hỏi sự hợp tác giữa tổ chức thông tin quốc gia, các cơ quan điều tra và các
tổ chức pháp lý, cũng như các tổ chức chỉ đạo kiểm soát sự cố an ninh và
đánh giá thiệt hại. Nó cũng cần hợp tác với tổ chức có thể phân tích những
khả năng bị tấn công về mặt kỹ thuật và đưa ra các biện pháp đối phó về mặt
kỹ thuật.
Học phần 6 An toàn, an ninh thông tin và mạng lưới 133
Bảng 20. Ví dụ về hợp tác trong việc đối phó sự cố an ninh thông tin
Khu vực Sự đóng góp
• Tổ chức đối phó sự cố an ninh: đưa ra phân tích tình huống, đối phó sự cố
thâm nhập trái phép, và công nghệ để đối phó với những vi phạm và các
sự cố
• Tổ chức thông tin quốc gia: phân tích và kiểm tra các sự cố và những vi
phạm liên quan đến an ninh thông tin
Các tổ chức • Các cơ quan điều tra: hợp tác với tổ chức có liên quan trong việc tóm bắt
Chính phủ và truy tố kẻ phạm tội
• Tổ chức cung cấp đánh giá về an ninh: kiểm tra sự an toàn và tính tin cậy
mạng lưới thông tin và sản phẩm an ninh thông tin
• Tổ chức giáo dục an ninh thông tin: phân tích nguyên nhân của các sự cố
an ninh thông tin đồng thời rèn luyện học viên để ngăn chặn sự tái diễn của
các rủi ro
• Tổ chức đối phó sự cố tư nhân: đưa ra sự đối phó và hỗ trợ về mặt kỹ thuật
Các nhóm
• Các cơ quan điều tra tư nhân: hợp tác cùng với các cơ quan điều tra của
Tư nhân
quốc gia
Các tổ chức • Trong trường hợp những sự cố và các mối đe dọa trên phạm vi quốc tế,
quốc tế báo cáo và hợp tác với Interpol, CERT/CC
Ngăn ngừa các sự cố an ninh thông tin
Việc ngăn ngừa các sự cố và vi phạm an ninh thông tin bao gồm công tác
giám sát, giáo dục và quản lý sự thay đổi. CSIRT quốc gia là đơn vị giám sát
chủ đạo. Một khu vực quan trọng thì có chính sách thông tin và dữ liệu giám
sát thực tế tương xứng. Do vậy, cần thiết phải thảo luận về phạm vi của việc
giám sát chính sách thông tin. Hơn nữa, điều này quan trọng đối với giáo dục
các nhân viên trong khu vực tư nhân và chính phủ, cũng như khu vực công
cộng nói chung về chính sách an ninh thông tin. Nó cũng có thể cần thiết để
thay đổi các quan điểm nào đó về thông tin và hành vi tác động tới an ninh
thông tin. Giáo dục về an ninh thông tin và quản lý sự thay đổi được chỉ rõ
trong US SP 800-16 (Những Yêu cầu Đào tạo đối với An ninh Công nghệ
Thông tin - Information Technology Security Training Requirements).
134 Những kiến thức cơ bản về Công nghệ thông tin và Truyền thông cho Lãnh đạo trong cơ quan Nhà nước
Bảng 21. Ví dụ về hợp tác trong việc ngăn ngừa sự cố và phạm vi đến an ninh thông tin
Khu vực Sự điều phối
• Cơ quan giám sát: không ngừng giám sát mạng lưới và dò tìm nâng cao
đối với những mối đe dọa an ninh
• Cơ quan thu thập: chia sẻ thông tin với các tổ chức quốc tế và những cơ
Các tổ chức
quan an ninh
Chính phủ
• Đơn vị đào tạo: thực hiện đào tạo mô phỏng định kỳ nhằm phát triển khả
năng và năng lực đối phó một cách nhanh chóng với những sự cố và vi
phạm tới an ninh thông tin
• Các nhà cung cấp ISP, công ty xử lý virus và kiểm soát an ninh: cung cấp
Các tổ chức
thực trạng lưu lượng, thông tin về các loại hình tấn công và các mô tả về
tư nhân
sâu/virus
Các tổ chức • Cung cấp thông tin về các loại hình tấn công, những mô tả về sâu/virus và
quốc tế các vấn đề tương tự
An toàn bí mật riêng tư
Sự hợp tác là cần thiết để xây dựng các biện pháp bảo vệ bí mật riêng tư trên
Internet, ngăn chặn sự cố thông tin về địa điểm của cá nhân, bảo vệ các báo
cáo và thông tin về sinh vật học của cá nhân trước những xâm phạm về bí mật
riêng tư.
Bảng 22. Ví dụ về hợp tác trong bảo vệ bí mật riêng tư
Khu vực Sự điều phối
• Tổ chức phân tích hệ thống: chỉ đạo các hoạt động liên quan đến thông tin
về địa điểm của cá nhân, và phân tích những xu hướng bên trong và bên
ngoài của việc bảo vệ thông tin cá nhân
• Tổ chức hoạch định: cải thiện các hệ thống/luật pháp, các biện pháp kỹ
Các cơ quan
thuật/quản trị và quản lý các tiêu chuẩn
Chính phủ
• Hỗ trợ kỹ thuật: phối hợp xác nhận người sử dụng mạng cho các doanh
nghiệp
• Các tổ chức dịch vụ: điều phối hỗ trợ cho việc xử lí các sự cố thư rác và vi
phạm bí mật riêng tư
• Tổ chức an ninh thông tin tư nhân: đăng ký các yêu cầu và thiết lập các
Các tổ chức tư
hiệp hội hợp tác về an ninh thông tin cá nhân
nhân
• Cố vấn an ninh thông tin cá nhân
Các tổ chức • Hợp tác nhằm áp dụng những tiêu chuẩn an ninh thông tin cá nhân trên
quốc tế phạm vi quốc tế
Học phần 6 An toàn, an ninh thông tin và mạng lưới 135
Điều phối quốc tế
An ninh thông tin không thể đạt được bằng những nỗ lực của một quốc gia
đơn lẻ bởi các vi phạm về an ninh thông tin có xu hướng diễn ra trên phạm vi
toàn cầu. Do đó, vấn đề điều phối quốc tế trong việc bảo vệ an ninh thông tin,
cả trong khu vực chính phủ và khu vực tư nhân, cần được thể chế hóa.
Đối với khu vực tư nhân, tổ chức quốc tế có liên quan đến việc thúc đẩy và
bảo vệ an ninh thông tin là CERT/CC. Các chính phủ, ENISA (đối với EU) và
ITU hướng tới mục đích hợp tác về an ninh thông tin giữa các quốc gia.
Tại mỗi quốc gia, cần phải có một cơ quan chính phủ có vai trò tạo điều kiện
hợp tác thuận lợi cho cả các tổ chức chính phủ lẫn tư nhân với những cơ quan,
tổ chức quốc tế.
Một vài điều cần làm
1. Xác định các cơ quan chính phủ và những tổ chức tư nhân tại đất nước
bạn mà cần thiết hợp tác và cộng tác trong việc thực thi một chính
sách an ninh thông tin quốc gia. Đồng thời xác định những tổ chức
quốc tế có nhu cầu hợp tác về vấn đề này.
2. Đối với mỗi lĩnh vực của hợp tác trong việc thực thi chính sách thông
tin được thể hiện ở hình 23, xác định những hoạt động hay hành động
cụ thể mà các cơ quan hay tổ chức này có thể tiến hành.
Những học viên cùng đến từ một quốc gia có thể thực hiện bài tập này
cùng nhau.
7.4 Xem xét lại và đánh giá Chính sách an ninh thông tin
Bước cuối cùng trong việc hoạch định chính sách an ninh thông tin và bổ
sung những khía cạnh chưa hoàn thiện. Việc sửa đổi chính sách là cần thiết
sau khi hiệu quả của một chính sách an ninh thông tin được xác định.
Một phương pháp đánh giá chính sách trong nước có thể được thực hiện để
xác định hiệu quả của chính sách an ninh thông tin quốc gia. Các khía cạnh
của phương pháp này được thảo luận dưới đây.
136 Những kiến thức cơ bản về Công nghệ thông tin và Truyền thông cho Lãnh đạo trong cơ quan Nhà nước
Sử dụng các tổ chức kiểm tra
Có những tổ chức có vai trò tiến hành đánh giá và xem xét chính sách. Như
vậy một tổ chức cần tiến hành kiểm tra thường xuyên chính sách an ninh
thông tin quốc gia. Ngoài ra, tổ chức này cũng cần độc lập với tổ chức hoạch
định chính sách an ninh thông tin và tổ chức thực thi.
Sửa đổi chính sách an ninh thông tin
Các khía cạnh có vấn đề thường được nhận diện trong suốt quá trình kiểm tra.
Cần có một quy trình sửa đổi chính sách để xử lý các vấn đề này.
Những thay đổi về môi trường
Điều quan trọng là cần phản ứng một cách nhanh nhạy trước những thay đổi
của môi trường chính sách. Những thay đổi nảy sinh từ các khả năng bị tấn
công và các mối đe dọa (các cuộc tấn công) quốc tế, thay đổi cơ sở hạ tầng IT,
thay đổi mức độ của thông tin thiết yếu, và những thay đổi quan trọng khác
cần được lập tức phản ánh trong chính sách an ninh thông tin quốc gia.
Tự kiểm tra
1. Các giai đoạn khác nhau trong chu kỳ sống của chính sách an ninh
thông tin tác động lẫn nhau như thế nào? Bạn có thể bỏ qua giai đoạn
nào? Tại sao có hoặc tại sao không?
2. Tại sao sự hợp tác giữa rất nhiều khu vực lại quan trọng trong quá
trình phát triển và thực thi chính sách an ninh thông tin?
Học phần 6 An toàn, an ninh thông tin và mạng lưới 137
PHỤ LỤC
Tài liệu đọc thêm
Butt, Danny, ed. 2005. Internet Governance: Asia-Pacific Perspectives.
Bangkok:UNDP-APDIP.
CERT. CSIRT FAQ. Carnegie Mellon University.
CERT. Security of the Internet. Carnegie Mellon University.
Dorey, Paul and Simon Perry, ed. 2006. The PSG Vision for ENISA.
Permanent Stakeholders Group.
006 version.pdf.
ESCAP. Module 3: Cyber Crime and Security.
publications/internet- use- for-
business-evelopment/module3-sources.asp.
Europa. Strategy for a secure information society (2006 communication).
European Commission.
Information and Privacy Office. 2001. Privacy Impact Assessment: A User’s
Guide. Ontario: Management Board Secretariat.
Information Security Policy Council. The First National Strategy on
Information Security. 2 February 2006.
ISO. ISO/IEC27001:2005.
catalogue_detail.htm?csnumber=42103.
ITU and UNCTAD. 2007. Challenges to building a safe and secure
Information Society. In World Information Society Report 2007, 82-101.
Geneva: ITU.
html.
138 Những kiến thức cơ bản về Công nghệ thông tin và Truyền thông cho Lãnh đạo trong cơ quan Nhà nước
ITU-D Applications and Cybersecurity Division. ITU National Cybersecurity
/ CIIP Self-Assessment Tool. ITU.
D/cyb/cybersecurity/projects/readiness.html.
Killcrece, Georgia. 2004. Steps for Creating National CSIRTs. Pittsburgh:
Carnegie Mellon University.
Killcrece, Georgia, Klaus-Peter Kossakowski, Robin Ruefle and Mark
Zajicek. 2003. Organizational Models for Computer Security Incident
Response Teams (CSIRTs). Pittsburgh: Carnegie Mellon University.
OECD. 2002. OECD Guidelines for the Security of Information Systems and
Networks: Towards a Culture of Security. Paris: OECD.
15582260.pdf.
OECD. OECD Guidelines on the Protection of Privacy and Transborder
Flows of Personal Data.
1,00.html.
Shimeall, Tim and Phil Williams. 2002. Models of Information Security Trend
Analysis. Pittsburgh: CERT Analysis Center.
doi=10.1.1.11.8034.
The White House. 2003. The National Strategy to Secure Cyberspace.
Washington, D.C.: The White House.
Học phần 6 An toàn, an ninh thông tin và mạng lưới 139
Các lưu ý đối với Giảng viên
Như đã lưu ý trong phần “Về Chuỗi học phần”, học phần này cũng như các
học phần khác trong chuỗi được thiết kế để mang lại giá trị cho nhiều nhóm
học viên khác nhau và trong các điều kiện quốc gia biến đổi, thay đổi. Các
học phần cũng được thiết kế để có thể trình bày, toàn bộ hay một phần, bằng
nhiều hình thức khác nhau, trực tuyến (on-line) hay ngoại tuyến (off-line).
Các học phần cũng có thể nghiên cứu độc lập hoặc theo nhóm trong các đơn
vị đào tạo cũng như trong các cơ quan chính phủ. Nền tảng của người tham
gia cũng như độ dài của các buổi học sẽ xác định mức độ chi tiết trong các nội
dung trình bày.
Những “lưu ý” này mang lại cho các giảng viên một số ý kiến và đề xuất để
việc trình bày nội dung học phần hiệu quả hơn. Chỉ dẫn sâu hơn về các
phương pháp cận và chiến lược đào tạo được đưa ra trong cẩm nang hướng
dẫn về kế hoạch giảng dạy được xây dựng như một tài liệu hướng dẫn cho
chuỗi học phần của Bộ giáo trình Những kiến thức cơ bản về Công nghệ
thông tin và Truyền thông cho lãnh đạo trong cơ quan nhà nước. Cẩm nang
này có thể tìm thấy tại địa chỉ:
Cấu trúc các buổi học
Với một buổi học 90 phút
Đưa ra cái nhìn tổng quan về những khái niệm cơ bản và các nguyên tắc/tiêu
chuẩn quốc tế của an ninh thông tin và bảo vệ bí mật riêng tư (Chương 1 và
Chương 5 của học phần). Nhấn mạnh sự cần thiết về chính sách bảo vệ bí mật
riêng tư và an ninh thông tin có hiệu quả, phù hợp.
Với một buổi học 3 tiếng
Phân chia buổi học thành hai phần. Trong phần đầu, tập trung vào những khái
niệm và xu hướng cơ bản trong an ninh thông tin, bao gồm sự phân tích xu
hướng đe dọa đối với an ninh thông tin (Chương 2). Trong phần thứ hai, tập
trung vào các khái niệm cơ bản và nguyên tắc bảo vệ bí mật riêng tư, tạo điều
kiện cho một buổi thảo luận về những vấn đề tác động đến bảo vệ bí mật
riêng tư và đánh giá ngắn gọn tác động bí mật riêng tư.
140 Những kiến thức cơ bản về Công nghệ thông tin và Truyền thông cho Lãnh đạo trong cơ quan Nhà nước
Với một buổi học kéo dài cả ngày (6 tiếng)
Sau khi có cái nhìn tổng quan về các khái niệm và nguyên tắc cơ bản về an
ninh thông tin và bảo vệ bí mật riêng tư, tập trung vào việc phát triển và thực
thi chính sách an ninh thông tin (Chương 7). Bạn có thể bắt đầu bằng việc hỏi
các học viên về chính sách có liên quan đến an ninh thông tin và bảo vệ bí
mật riêng tư. Sau đó trình bày ngắn gọn vòng đời của chính sách an ninh
thông tin trước khi đi vào quy trình xây dựng chính sách. Các học viên đến từ
nhiều quốc gia khác nhau với một chính sách an ninh thông tin có thể được
yêu cầu đánh giá chính sách đó theo những nguyên tắc và quy trình đã thảo
luận, trong khi những học viên đến từ các quốc gia không có một chính sách
an ninh thông tin nào có thể được yêu cầu phác họa một số khía cạnh của
chính sách (xem hoạt động học tập tại cuối phần 7.2).
Với một buổi học kéo dài 2 ngày
Ngày đầu tiên có thể tiến hành như mô tả ở trên, ngày thứ hai có thể tập trung
vào phương pháp và các hoạt động an ninh thông tin (Chương 3 và 4), đặc
biệt là việc xây dựng CSIRT (Chương 6). Những ví dụ từ các quốc gia khác
nhau có thể được chia ra, và nên khuyến khích học viên xác định mô hình
CSIRT phù hợp nhất để thiết kế các cơ chế can thiệp an ninh cụ thể cho bối
cảnh đất nước mình.
Tính tương tác
Điều quan trọng là người học có được tính tương tác và những bài học thực
tiễn. Học phần cung cấp rất nhiều thông tin có ích, tuy nhiên các học viên cần
có khả năng phân tích thông tin này và áp dụng chúng tại nơi mà chúng có
ích. Một số trường hợp nghiên cứu được đưa ra trong học phần, bất cứ khi
nào có thể, chúng có thể được thảo luận dưới dạng các nguyên tắc và khái
niệm an ninh thông tin. Tuy nhiên, học viên cũng cần được khuyến khích để
tìm hiểu những vấn đề xác thực và những vấn đề về bảo vệ bí mật riêng tư và
an ninh thông tin trong bối cảnh riêng của họ.
Học phần 6 An toàn, an ninh thông tin và mạng lưới 141
Về KISA
Cơ quan an ninh thông tin Hàn Quốc (Korea Information Security Agency
- KISA) được chính phủ thành lập năm 1996 như là một trung tâm chịu trách
nhiệm xúc tiến hoạt động hoạch định chính sách hiệu quả trên phạm vi toàn
quốc nhằm nâng cao an ninh thông tin. Các chức năng của nó gồm có ngăn
ngừa và đối phó với những xâm phạm Internet, đối phó thư rác, bảo vệ bí mật
riêng tư, chữ ký điện tử, bảo vệ cơ sở hạ tầng thiết yếu, đánh giá an ninh của
các sản phẩm an ninh thông tin, phát triển công nghệ và chính sách chuyên
sâu, và nâng cao nhận thức đối với việc thiết lập một xã hội thông tin an toàn
và tin cậy.
142 Những kiến thức cơ bản về Công nghệ thông tin và Truyền thông cho Lãnh đạo trong cơ quan Nhà nước
UN-APCICT
Trung tâm Đào tạo Phát triển Công nghệ thông tin và Truyền thông Châu Á
Thái Bình Dương (UN-APCICT) là một đơn vị thành viên của Ủy ban Kinh tế
Xã hội Liên hợp quốc trong khu vực Châu Á và Thái Bình Dương (ESCAP).
UN-APCICT hướng tới tăng cường nỗ lực của các quốc gia thành viên
ESCAP nhằm sử dụng ICT trong quá trình phát triển kinh tế xã hội của họ
thông qua xây dựng năng lực con người và các cơ quan. Hoạt động của UN-
APCICT tập trung vào các lĩnh vực:
1. Đào tạo: nâng cao kiến thức và kỹ năng ICT cho các nhà hoạch định chính
sách và chuyên gia ICT, đồng thời tăng cường năng lực của đội ngũ giảng
viên ICT và các tổ chức đào tạo ICT;
2. Nghiên cứu: thực hiện các nghiên cứu phân tích liên quan đến phát triển
nguồn nhân lực trong lĩnh vực ICT;
3. Tư vấn: cung cấp dịch vụ tư vấn về các chương trình phát triển nguồn nhân
lực tới các thành viên của ESCAP và các thành viên cộng tác.
UN-APCICT đặt trụ sở tại Incheon, Hàn Quốc
ESCAP
ESCAP là một nhánh phát triển khu vực của Liên hợp quốc và hoạt động như
trung tâm phát triển kinh tế xã hội chính của Liên hợp quốc ở Châu Á và Thái
Bình Dương. Nhiệm vụ của ESCAP là thúc đẩy sự hợp tác giữa 53 thành viên
và 9 thành viên cộng tác. ESCAP đưa ra những liên kết mang tính chiến lược
giữa các chương trình và vấn đề cấp toàn cầu và quốc gia. Nó hỗ trợ chính
phủ của các nước trong khu vực trong việc củng cố vị trí và ủng hộ hướng đi
của khu vực để chuẩn bị cho những thách thức kinh tế xã hội trong quá trình
toàn cầu hóa thế giới. Văn phòng ESCAP đặt tại Bangkok, Thái Lan.
Học phần 6 An toàn, an ninh thông tin và mạng lưới 143
Các file đính kèm theo tài liệu này:
- giao_trinh_nhung_kien_thuc_co_ban_ve_cong_nghe_thong_tin_va.pdf